[Forensics] 메일 찾기

우선, 첨부파일을 받고 압축을 푼 뒤에

 

폴더안에 들어가면 한글파일이 있습니다.

 

한글파일을 열어보면, 이렇게 창이 뜨는 것을 확인할 수 있습니다.

 

실행하면 큰일 날 것 같은 한글 파일

 

아무래도 스크립트라는 메시지를 보다보니,

 

EPS 를 활용한 한글파일 악성코드가 생각났고,

 

바로 HWPSCAN을 돌려보았습니다.

 

파워셸 스크립트

파워셸 스크립트를 통해서 뭔가를 실행하는 듯한 모습입니다.

 

이 문자열을 base 64 처럼 보였기 때문에 바로 디코딩을 시도하였습니다.

 

구글 드라이브 링크를 확인할 수 있었고,

 

이 곳으로 들어갔습니다.

 

링크에서 다운받은 trojan.txt

trojan.txt를 다시한번 base64 디코딩해보았습니다.

 

Hex Value들이 들어가있는 것을 보실 수 있습니다.

 

이것을 HxD에서 그대로 넣어보았습니다.

 

PNG 파일입니다.

 

 

이렇게 플래그를 획득하였습니다.